Ovaj članak je posvećen karakteristikama nadgledanja mrežne opreme koristeći SNMPv3 protokol. Razgovarat ćemo o SNMPv3, podijelit ću svoje iskustvo u stvaranju punopravnih predložaka u Zabbixu i pokazati šta se može postići organiziranjem distribuiranog upozorenja u velikoj mreži. SNMP je glavni protokol za praćenje mrežne opreme, a Zabbix je odličan za praćenje velikog broja objekata i sažimanje velikih količina dolaznih metrika.
Nekoliko riječi o SNMPv3
Počnimo sa svrhom SNMPv3 protokola i karakteristikama njegove upotrebe. SNMP zadaci - nadgledanje mrežnih uređaja i elementarno upravljanje slanjem jednostavnih komandi na njih (na primjer, omogućavanje i onemogućavanje mrežnih sučelja ili ponovno pokretanje uređaja).
Glavna razlika između SNMPv3 protokola i njegovih prethodnih verzija su klasične sigurnosne karakteristike [1-3], i to:
- autentifikaciju (Authentication), koja utvrđuje da je zahtjev primljen iz pouzdanog izvora;
- enkripcija (Encryption), kako bi se spriječilo otkrivanje prenesenih podataka kada ih presretnu treća lica;
- integritet (Integrity), odnosno garancija da paket nije neovlašten u tranzitu.
SNMPv3 podrazumijeva korištenje sigurnosnog modela u kojem je strategija autentifikacije postavljena za datog korisnika i grupu kojoj on pripada (u prethodnim verzijama SNMP-a samo je "zajednica" upoređena u zahtjevu od servera prema objektu nadzora, tekstualni niz sa "lozinkom" koji se prenosi u čistom tekstu (plaintext)).
SNMPv3 uvodi koncept nivoa sigurnosti – prihvatljivih nivoa sigurnosti koji određuju konfiguraciju hardvera i ponašanje SNMP agenta nadziranog objekta. Kombinacija sigurnosnog modela i nivoa sigurnosti određuje koji se sigurnosni mehanizam koristi prilikom obrade SNMP paketa [4].
Tabela opisuje kombinacije modela i SNMPv3 nivoa sigurnosti (odlučio sam ostaviti prve tri kolone kao u originalu):
U skladu s tim, koristit ćemo SNMPv3 u načinu šifrirane autentifikacije.
SNMPv3 konfiguracija
Nadgledanje mrežne opreme pretpostavlja istu konfiguraciju SNMPv3 protokola i na serveru za nadzor i na objektu koji se nadgleda.
Počnimo s konfiguracijom Cisco mrežnog uređaja, njegova minimalna potrebna konfiguracija je sljedeća (za konfiguraciju koristimo CLI, pojednostavio sam imena i lozinke da izbjegnem zabunu):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedPrva linija snmp-server grupa definira grupu korisnika SNMPv3 (snmpv3group), način čitanja (čitanje) i pravo pristupa snmpv3group grupe za pregled određenih grana MIB stabla nadzornog objekta (snmpv3name dalje u konfiguraciji određuje kojim granama MIB stabla grupa pripada snmpv3group će moći pristupiti).
U drugom redu snmp-server korisnik definira korisnika snmpv3user, njegovo članstvo u grupi snmpv3group, kao i korištenje md5 autentikacije (lozinka za md5 je md5v3v3v3) i des enkripcije (lozinka za des je des56v3v3v3). Naravno, umjesto des je bolje koristiti aes, ovdje dajem samo za primjer. Također, prilikom definiranja korisnika, možete dodati pristupnu listu (ACL) koja reguliše IP adrese servera za praćenje koji imaju pravo da nadgledaju ovaj uređaj - to je takođe najbolja praksa, ali neću komplikovati naš primjer.
Treći red snmp-server pogled definira kodno ime koje definira grane snmpv3name MIB stabla tako da ih može tražiti od snmpv3group korisničke grupe. ISO, umjesto striktno definiranja jedne grane, dozvoljava snmpv3group korisničkoj grupi da pristupi svim objektima u MIB stablu objekta nadzora.
Slično Huawei hardversko podešavanje (također u CLI) je kako slijedi:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Nakon konfiguracije mrežnih uređaja, potrebno je provjeriti pristup sa servera za praćenje putem SNMPv3 protokola, ja ću koristiti snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Detaljniji alat za ispitivanje specifičnih OID-ova pomoću MIB datoteka je snmpget:
Sada pređimo na postavljanje tipične stavke za SNMPv3, u okviru Zabbix šablona. Radi jednostavnosti i MIB nezavisnosti, koristim numeričke OID-ove:
Koristim prilagođene makroe u ključnim poljima jer će oni biti isti za sve elemente podataka u predlošku. Možete ih postaviti unutar predloška, ako svi mrežni uređaji u vašoj mreži imaju iste SNMPv3 postavke, ili unutar hosta, ako su SNMPv3 postavke za različite objekte nadzora različite:
Imajte na umu da sistem za nadzor ima samo korisničko ime i lozinke za autentifikaciju i šifriranje. Grupa korisnika i područje MIB objekata kojima je dozvoljen pristup postavlja se na objektu nadzora.
Sada idemo na popunjavanje šablona.
Predložak ankete u Zabbixu
Jednostavno pravilo kada kreirate šablone ankete je da ih učinite što detaljnijim:
Puno pažnje posvećujem zalihama kako bi bilo praktičnije raditi s velikom mrežom. Više o tome kasnije, ali za sada, okidači:
Radi praktičnosti vizualizacije okidača, njihova imena sadrže {HOST.CONN} sistemske makroe tako da kontrolna tabla u odjeljku upozorenja ne prikazuje samo nazive uređaja, već i IP adrese, iako je to više stvar pogodnosti nego neophodnosti. Da bih utvrdio da li je uređaj nedostupan, osim uobičajenog echo zahtjeva, koristim provjeru nedostupnosti hosta putem SNMP protokola, kada je objektu dostupan preko ICMP-a, ali ne odgovara na SNMP zahtjeve - ova situacija je moguća, npr. kada se IP adrese dupliraju na različitim uređajima, zbog pogrešno konfigurisanih firewall-a ili pogrešnih SNMP postavki na nadgledanim objektima. Ako koristite provjeru dostupnosti čvorova samo putem ICMP-a, u vrijeme istrage incidenata u mreži, podaci za praćenje možda neće biti dostupni, pa se njihov prijem mora kontrolirati.
Pređimo na otkrivanje mrežnih sučelja - za mrežnu opremu ovo je najvažnija funkcija nadzora. Budući da na mrežnom uređaju može postojati stotine sučelja, potrebno je filtrirati nepotrebna kako ne bi zatrpali vizualizaciju i zatrpali bazu podataka.
Koristim standardnu funkciju otkrivanja SNMP-a, s više mogućnosti za otkrivanje, za fleksibilnije filtriranje:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Sa ovim otkrićem, možete filtrirati mrežna sučelja prema njihovim tipovima, korisničkim "opisima" i statusima administrativnih portova. Filteri i regularni izrazi za filtriranje u mom slučaju izgledaju ovako:
Kada se otkriju, sljedeća sučelja bit će isključena:
- onemogućeno ručno (adminstatus<>1), zahvaljujući IFADMINSTATUS;
- bez tekstualnog opisa, zahvaljujući IFALIAS-u;
- imaju simbol * u opisu teksta, zahvaljujući IFALIAS-u;
- koji su servisni ili tehnički, zahvaljujući IFDESCR-u (u mom slučaju, u regularnim izrazima IFALIAS i IFDESCR se provjeravaju jednim pseudonimom regularnog izraza).
SNMPv3 šablon za prikupljanje podataka je skoro spreman. Nemojmo se zadržavati na prototipovima elemenata podataka za mrežna sučelja, prijeđimo na rezultate.
Rezultati monitoringa
Za početak, inventar male mreže:
Ako pripremite šablone za svaku seriju mrežnih uređaja, možete postići zgodan raspored za analizu sažetih podataka o trenutnom softveru, serijskim brojevima i obavijesti o dolasku uređaja za čišćenje servera (zbog malog vremena rada). Izvod iz moje liste šablona je ispod:
A sada - glavna kontrolna tabla, sa okidačima raspoređenim po nivoima važnosti:
Zahvaljujući integriranom pristupu šablonima za svaki model uređaja u mreži, moguće je osigurati da se u okviru jednog nadzornog sistema organizira alat za predviđanje kvarova i nezgoda (ako su dostupni odgovarajući senzori i metrika). Zabbix je vrlo pogodan za nadzor mreže, servera, servisne infrastrukture, a zadatak održavanja mrežne opreme jasno pokazuje njegove mogućnosti.
Spisak korištenih izvora:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Službeni vodič za certifikate. Cisco Press, 2014. str. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Vodič za SNMP konfiguraciju, Cisco IOS XE izdanje 3SE. Poglavlje: SNMP verzija 3.
izvor: www.habr.com